{"id":32238,"date":"2025-06-02T14:36:05","date_gmt":"2025-06-02T12:36:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32238"},"modified":"2025-06-02T14:36:05","modified_gmt":"2025-06-02T12:36:05","slug":"microsoft-365-purchase-email-scam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/microsoft-365-purchase-email-scam\/32238\/","title":{"rendered":"Betr\u00fcger nutzen Benachrichtigungen von Microsoft Business f\u00fcr Angriffe"},"content":{"rendered":"

F\u00fcr einen erfolgreichen E-Mail-Angriff m\u00fcssen Cyberkriminelle ihre Nachrichten zun\u00e4chst einmal an die potenziellen Opfer bringen. Erst vor Kurzem haben wir in einem anderen Artikel<\/a> dar\u00fcber berichtet, wie Betr\u00fcger Benachrichtigungen von GetShared ausnutzten\u00a0\u2013 einem v\u00f6llig legitimen Sharing-Dienst f\u00fcr gro\u00dfe Dateien. Heute nehmen wir eine andere Versandmethode f\u00fcr b\u00f6sartige E-Mails unter die Lupe. Betr\u00fcger haben inzwischen gelernt, benutzerdefinierten Text in echte Dankesnachrichten einzuf\u00fcgen, die Microsoft 365 an neue Business-Abonnenten sendet.<\/p>\n

Eine echte E-Mail von Microsoft mit einer b\u00f6sen \u00dcberraschung<\/h2>\n

Der Angriff beginnt mit einer legitimen E-Mail, in der sich Microsoft f\u00fcr den Kauf eines Abonnements f\u00fcr Microsoft 365 Apps for Business<\/a> bedankt. Die E-Mail kommt tats\u00e4chlich von der echten Adresse des Technologiegiganten: microsoft-noreply@microsoft.com. Man kann sich wohl kaum eine E-Mail-Adresse vorstellen, die mehr Vertrauen erweckt. Deshalb passiert die Nachricht auch problemlos alle Spam-Filter auf E-Mail-Servern.<\/p>\n

Nur zur Klarstellung: Es ist eine waschechte E-Mail von Microsoft. Der Inhalt entspricht einer typischen Kaufbest\u00e4tigung. Wie auf dem folgenden Screenshot zu sehen, bedankt sich das Unternehmen beim Empf\u00e4nger f\u00fcr den Kauf von 55 Abonnements f\u00fcr Microsoft 365 Apps for Business zum Preis von 587,95 US-Dollar.<\/p>\n

\"Betrug<\/a>

Beispiel f\u00fcr eine Microsoft-Business-Benachrichtigung, bei der Angreifer ihre Nachricht unter \u201eZahlungsinformationen\u201c eingef\u00fcgt haben<\/p><\/div>\n

Der Kern des Betrugs liegt in dem Text, den Angreifer im Abschnitt \u201eZahlungsinformationen\u201c einf\u00fcgen. Normalerweise stehen hier der Name des Unternehmens, das ein Abonnement abschlie\u00dft, sowie die Rechnungsadresse. Die Betr\u00fcger tauschen diese Informationen jedoch gegen ihre eigene Telefonnummer aus und fordern den Empf\u00e4nger auf, sich bei Unklarheiten telefonisch an \u201eMicrosoft\u201c zu wenden. Nach den Typen der \u201egekauften\u201c Abos zu urteilen, haben es die Betr\u00fcger auf Unternehmensmitarbeiter abgesehen.<\/p>\n

Sie machen sich die Angst der Mitarbeiter zunutze: Es geht um einen teuren, unn\u00f6tigen Einkauf. So etwas kann bei der Arbeit ordentlich \u00c4rger geben. Da sich das Problem nicht per E-Mail l\u00f6sen l\u00e4sst (die Absenderadresse nimmt keine Antworten an), muss das Opfer wohl oder \u00fcbel die angegebene Telefonnummer w\u00e4hlen.<\/p>\n

Wer nimmt die Anrufe entgegen, und wie geht es weiter?<\/h2>\n

Wenn das Opfer anbei\u00dft und sich telefonisch nach den angeblich gekauften Abonnements erkundigt, setzen die Betr\u00fcger auf Social Engineering<\/a>.<\/p>\n

Hier sind die Erfahrungen<\/a> eines Reddit-Nutzers, der so eine E-Mail erhalten und die Nummer angerufen hatte. Nach seinen Angaben empfahl die Person, die den Anruf beantwortete, eine Support-Software zu installieren, und schickte auch gleich eine exe-Datei. Der weitere Gespr\u00e4chsverlauf legt nahe, dass die Datei einen Fernzugriffs-Trojaner<\/a> (RAT) enthielt.<\/p>\n

Das Opfer sch\u00f6pfte erst Verdacht, als der Betr\u00fcger versprach, den irrt\u00fcmlich bezahlten Geldbetrag gleich zur\u00fcckzu\u00fcberweisen. Das war ein deutliches Warnsignal, denn der Betr\u00fcger konnte die Bankdaten des Opfers gar nicht kennen. Anschlie\u00dfend forderte der Betr\u00fcger das Opfer auf, sich bei seinem Online-Banking anzumelden und zu \u00fcberpr\u00fcfen, ob die R\u00fcckzahlung angekommen sei.<\/p>\n

Das vom Angreifer empfohlene Programm war wahrscheinlich Malware zum Abfangen von Anmeldedaten. Zum Gl\u00fcck erkannte das Opfer die Gefahr in diesem Fall rechtzeitig und legte auf. Im selben Thread berichten andere Reddit-Nutzer von \u00e4hnlichen E-Mails<\/a> mit unterschiedlichen Kontaktdaten.<\/p>\n

\u00a0<\/strong>Wie versenden Betr\u00fcger Phishing-E-Mails von einer echten Microsoft-Adresse?<\/strong><\/h2>\n

Wie es den Angreifern genau gelingt, Microsoft-Benachrichtigungen an die Opfer zu senden, bleibt weiterhin ein R\u00e4tsel. Die plausibelste Erkl\u00e4rung<\/a> stammt von einem anderen Reddit-Nutzer, der vermutet, dass die Betr\u00fcger gestohlene Anmeldeinformationen oder Testversionen nutzen, um auf Microsoft 365 zuzugreifen. Um Nachrichten wie auf dem obigen Screenshot zu erzeugen, werden entweder Blindkopien (BCC) verwendet oder beim Kauf eines Abonnements wird einfach die E-Mail-Adresse des Opfers eingegeben.<\/p>\n

Es gibt noch eine andere Erkl\u00e4rung: Die Betr\u00fcger verschaffen sich mit einem aktiven Microsoft 365-Abonnement Zugriff auf ein Konto, verwenden dann die Funktion zur Aktualisierung der Zahlungsinformationen und geben das Opfer als Empf\u00e4nger an.<\/p>\n

Unabh\u00e4ngig davon haben die Angreifer aber das Ziel, die Zahlungsinformationen (den einzigen Teil der Microsoft-Benachrichtigung, den sie manipulieren k\u00f6nnen) durch ihre eigene Telefonnummer zu ersetzen.<\/p>\n

So sch\u00fctzt du dich vor solchen Angriffen<\/h2>\n

B\u00f6swillige Akteure finden immer wieder neue Schlupfl\u00f6cher in bekannten, absolut legitimen Diensten und verwenden diese f\u00fcr Phishing-Kampagnen und Betrug. Darum erfordert die Unternehmenssicherheit sowohl technische als auch organisatorische Schutzma\u00dfnahmen. Unsere Empfehlung:<\/p>\n